J'ai changé la config du routeur ce matin pour passer de mamadoo vers Tiscali illimité. Seulement depuis mes utilisateurs, à chaque fois qu'il essaient d'envoyer un mail hors de @wanadoo.fr ont une erreur 550 (open relay rejected) en retour.
Voilà ce que dit Wanadoo à ce sujet : http://www.wanadoo.fr/bin/frame.cg [...] nse441.asp
Ce qui est naturellement du foutage de gueule puisque ça marchait trés bien hier.
 
De plus j'ai fait le même changement sur un autre réseau, où les utilisateurs ont également le même problème.
 
Une âme charitable pour aider un pauvre admin en déroute ?

Si tu essayes d'utiliser le serveur de messagerie de Wanadoo pour envoyer des messages mais en utilisant Tiscali pour te connecter, c'est tout à fait normal que tu soit rejeté.
Bon nombre de fournisseurs d'accès ont configuré leurs serveurs de mail pour refuser des connections en SMTP en provenance de réseaux autres que le leur. Ceci afin de réduire le spam, mais également de se retrouver sur  les RBL.
Deuc possibilités :
* Soit pour l'envoie de mail tu utilises une connection Wanadoo et leur serveur de messagerie,
* Soit tu utilises la connexion Tiscali et dans ce cas tu utilises le serveur de messagerie de Tiscali pour envoyer tes mails  
 
Pas la peine de crier après Wanadoo, ils ne sont pour rien pour ton problème

si si ils y sont pour quelque chose : mes utilisateurs ont des adresses en @wannadoo.fr depuis perpette, on a encore un forfait chez eux de 5H (mais je vais pas m'amuser à reconfigurer le routeur à chaque fois qu'ils ont besoin d'envoyer un mail). Enfin, comment expliques tu que les utilisateurs puissent envoyer des mails sur le domaine wanadoo.fr et pas sur le reste, c'est bizarre ça non ?
Enfin, je ne vois pas ce qui emepche de faire du spam en étant connecté par wanadoo au net et d'utiliser leurs boites ....
Par ailleurs j'ai mon propre serveur smtp, sur mon domaine, et il ne pose pas tant de problème !!!!

On ne demande pas de changer d'adresse mail, mais de serveur smtp. Si tout le monde a travers le monde pouvait utiliser le smpt wanadoo sans etre abonné chez eux tu imagines la charge de leur serveur ? Et que tu possedes un abo chez eux ils s'en tapent, si tu utilise pas leur reseau ils ont pas a faire du relaying pour tes mails, piske c le boulot du fai que tu utilises, point barre.
 
 

Non, il n'y a rien de normal à celà. Au contraire, c'est une des bases pour protéger un serveur de mail contre le relayage, c'est à dire l'utilisation d'un serveur de messagerie quelconque pour envoyer des messages à n'importe qui.
Si tu envoies des e-mails sur des adresses gérées par ce serveur, il va l'accepter.
 
Si tu envoies des e-mails à des adresses autres que celles gérées par ce serveur, il va vérifier si tu es autorisé à le faire. La vérification est simple :  
* soit tu te connectes avec une des adresses I.P. de Wanadoo -> dans ce cas tu es un utilisateur reconnu et tu es autorisé à envoyer tes messages (dans le cas contraire aucun abonné de wanadoo pourrait envoyer des e-mails sur des adresses externes à wanadoo)
* soit tu te connectes avec une adresse non gérée par wanado -> dans ce cas là tu n'es pas reconnu comme un abonné wanadoo, donc tu n'as pas le droit d'utiliser leur serveur de messagerie, tu es donc rejeté avec une erreur 550.
 
Le serveur ne s'appuie pas sur l'adresse de l'émetteur, mais sur l'adresse I.P. qu'il utilise pour sa connexion. Une adresse e-mail peut être falsifiée, mais pas une adresse I.P.
 
Donc pour envoyer tes messages, il faut obligatoirement que le serveur SMTP configuré sur tes postes clients corresponde à ton fournisseur d'accès :
tu utilises Wanadoo -> tu prends le serveur SMTP de wanadoo
tu utilises Tiscali -> tu prends le serveur SMTP de Tiscali
tu utilises tartempion -> tu prends le serveur SMTP de tartempion
 
Je te fais remarqué au passage que ton problème fait suite à ton changement de paramétrage...
 
Si ton serveur SMTP ne pose pas de problème, j'espère pour toi qu'il n'est pas accessible depuis le net et qu'il n'est pas ouvert.... Sinon bonjour la casse....
 
Pour vérifier ton serveur (s'il est connecté sur internet) :
http://www.abuse.net/relay.html

 
Cela va beaucoup plus loin. Si leur serveur accepte le relayage, n'importe qui pourrais l'utiliser pour envoyer des mails, et entre autre faire du SPAM en envoyant de milliers d'emails non désirés. Du coup, ceux qui reçoivent ces mails peuvent se plaindre auprès d'organismes gérant les RBL List. Et du coup leur serveur peut être black-listé. Résultat : les serveurs qui check les RBL List refuseront tout les mails en provenance ou à destination de wanadoo ! La bonne blague !

 
très bonne explication, claire, concise, et sans traiter les gens de neuneux ...  

->Mrpochpoch : Merci M'sieur!

Bien, alors expliquez moi pourquoi mes utilisateurs peuvent envoyer des mails en passant par leur interface web ? (donc avec un ip tiscali).
 
Quand à mon serveur smtp, t'inquiètes, il est bien protégé

 
You're welcome ...  

 
Bon, il ne faut pas confondre envoie de message par SMTP et saisie de message par une interface WEB.
Dans le premier cas, tu peux faire du mass-mailing : tu te connectes au serveur SMTP et avec une seule connection tu peux envoyer un mail à des dizaines de milliers de destinataires.
 
Pour faire la même chose avec une interface web, ben.... bon courage
 
La connexion smtp est utilisé par un client de messagerie, mais peux également être utilisé par un programme.
 
L'interface web est utilisée par des postes (ou des personnes) nomades, donc qui peuvent être connectées n'importe où dans le monde.
 
Bon, je ne vais pas faire un cours, mais ce sont deux chôses totalement différentes et qui n'utilisent absolument pas le même protocole.
 
Si tu veux tester, utilises TELNET et appelle le port 25 (SMTP) de ton serveur de messagerie et fait un essai en tapant ceci :
HELO
MAIL From:<toi@tonadresse>
RCPT To:<toi@tonadresse>
DATA
toutcequetuveux
<CRLF>.<CRLF>
QUIT
 
<toi@tonadresse> est ton adresse e-mail
<CRLF> correspond à la touche ENTREE ou RETURN si tu préfère
 
Normalement tu recevra le message que tu as tapé dans ta boite.
 
Et je pense que là tu comprendras pourquoi ils bloquent le relayage.......

car par ce biais il y a une authentification par login/pass .
Pour éviter ce genre de probleme , peut etre devrait tu mettre en place un serveur smtp directement en local , cela t'affranchirais d'éventuels changements de smtp a 'chaque changement', quitte a le faire faire un relay vers le smtp du nouvel fai ( dans le cadre de wanadoo par exemple qui demande aux autres FAI de refuser les mails ne venant pas des SMTP officiels ) si cela s'avere necessaire , ce qui n'entraine la encore qu'une modification sur un point .
(juste pour info les rbls c'est _mal_ quand c'est utilisé pour mettre un 554 direct a l'entrée du mail ... )

Je regrette, mais l'interface web n'est pas le problème, vu le nombre de spams venant d'@hotmail.com ....
 
Mikala --> il y a aussi une authentification par le biais du smtp

Tiens lis ca tu vas mieux comprendre le probleme de l'open relay, et des differents agents qui interviennent dans la distribution d'un mail :
 
http://www.culte.org/listes/linux- [...] 00127.html
 

Euh , les mails cela ce change ...
regarde les headers pour etre sur que le mail vient _effectivement_ des serveurs hotmail ...
ensuite tu parles de quoi lorsque tu parles d'auth par le biais du smtp ? , dans ce cas précis je te parle du webmail de wanadoo .

[HS] Je trouve quand même allucinant qu'il n'y ait pas besoin d'authentification pour l'envoi de mails.

oui mais culte n'est probablement pas le meilleur moyen de comprendre l'open relay , enfin cela reste mon opinion (rejeter les mails sur des RBLs , maintenus par des personnes +/- conscientes e leur boulot ,par un 554 au lieu de laisser l'utilisateur choisir ce qu'il accepte ou pas .... )
Bref ....
 

a priori il y a tjs authentification sauf dans le cas d'open relay ...

 
  Je sais pas si  tu as remarquer mais visiblement B-52 s'embrouille déja la tete, alors au lieu de lui servir un bookin de 500 pages sur l'openrelay, je crois que commencer par des analogies simples me parrait plus approprié hein  

 
Ce que je voulais dire, c'est que tu peux envoyer sous une adresse bidon, ça passera quand même.
J'aurais préféré que pour envoyer un mail il faille donner un mot de passe associé à ton compte mail, comme pour le courrier entrant.

j'ai pas le dis le contraire ...
j'ai juste dis qu'il ne faut pas prendre pour argent comptant ce que dis Culte ...
Ensuite l'explication de Dark Angel est ma fois assez claire je trouve  ...

 
1) Moi non plus
2) J'ai pas dis de prendre des actions chez eux, g dit de lire CE passage (qui a le merite de faire une analogie simple, et oui une analogie est par definition une approximation )
3) Toi oui, mais visiblement ce n'est pas le cas pour tous

Personne ne m'a encore expliqué pourquoi avec outloook, qui nécessite une identification, puis une authentification ça ne marche pas, ce qui est des connexiosn telnet, ça c'est bon j'ai un script qui fait ça tout seul comme un grand....
 
Que le smtp ne soit pas un protocole sécurisé, soit, mais alors si je comprends bien; si par ex je peux spoofer le header from, je peux effectivement prendre n'importe quelle adresse @elysee.gov.fr ou wanadoo.fr etc ... jusque là on est d'accord je penses. Mais alors à quoi sert l'authentification dans le client mail ?
question subsidiaire : étant connecté sur un forfait mamadoo, qu'est cequi m'empeche  de spoofer une adresse quelconque@wanadoo.fr et d'envoyer des spams à la terre entière en utilisant le serveur smtp de wanadoo ?

 
Il ne viennent pas d'hotmail, c'est à dire qu'ils ne sont pas envoyés via le service d'hotmail ; bien que tu puisse avoir cette impression.
 
Il s'agit juste de l'adresse de l'expéditeur qui est complètement bidon (tu peux y mettre ce que bon te semble dans cette adresse, elle sert juste à répondre si un reply-to n'est pas défini dans l'entête)

Ouaip ça c ok j'ai pigé (et je le savais, mais avec la fatigue )
 
Alors ce serai un problème "structurel" ? Les MTA étant infoutu d'authentifier correctement un MUA autrement que par une adresse IP ?  Que vient faire l'authentification SMTP dans ce cas ?

Personne ne m'a encore expliqué pourquoi avec outloook, qui nécessite une identification, puis une authentification ça ne marche pas, ce qui est des connexiosn telnet, ça c'est bon j'ai un script qui fait ça tout seul comme un grand....
Si tu utilise un serveur de messagerie Exchange + Outlook, tu utilise encore un protocole différent. Sinon que ce soit Outlook ou un autre client SMTP ca ne change rien.
 
Que le smtp ne soit pas un protocole sécurisé, soit, mais alors si je comprends bien; si par ex je peux spoofer le header from, je peux effectivement prendre n'importe quelle adresse @elysee.gov.fr ou wanadoo.fr etc ... jusque là on est d'accord je penses. Mais alors à quoi sert l'authentification dans le client mail ?
L'authentification sert à généralement uniquement relever tes emails (POP3). Certains serveurs acceptent/exigent aussi une authentification pour l'envois (SMTP). Cela n'évite pas de spoofer, mais ajoute un élément supplémentaire pour te taper sur les doigts si tu fais le con. La protection de base contre l'usage abusif d'un serveur SMTP reste de filtrer les adresses IPs externes au réseau.
 
question subsidiaire : étant connecté sur un forfait mamadoo, qu'est cequi m'empeche  de spoofer une adresse quelconque@wanadoo.fr et d'envoyer des spams à la terre entière en utilisant le serveur smtp de wanadoo ?
Rien techniquement... par contre ton provider dans les logs de son serveur SMTP verra ton IP et comme tu es client chez eux ils sauront sur quels doigts taper !

 
ba pour ça il reste le spoofing d'IP, avec un zombie plus ou moins concentant et branché chez mamadoo mais bon, là ça commence à devenir vraiment compliqué  
 
pour l'authentif' smtp, bah c'est ce qu'il devrait mettre en place chez wanadoo (obligatoire) ... fin bref, au moins j'ai compris pouquoi... je ne me suis jamais trouvé dans cette situation/configuration, c'est pour ça que je pigeais pas. Un grand merci

Petites précisions:
1) sur le POP tu as une authentification, sinon tout le monde pourrait lire les messages
2) sur le SMTP tu n'as pas d'authentification (enfin, pas sur tous les produits serveurs de messagerie)
3) à la rigueur il est possible de configurer un serveur de messagerie en lui demandant qu'obligatoirement un client doit d'abord se connecter en POP pour s'identifier avant de pouvoir effectuer un envoi par le SMTP (identification détournée, le POP et le SMTP etant sur la même session).
4) des clients comme Outlook supportent mal le "POP before SMTP" (ce qui est expliqué en 3), cela peut être contourné en reconfigurant Outlook et encore, j'ai vu des problèmes avec certains de nos clients.
5) Le 3 serait la meilleur solution, mais vu le 4 tous les providers ne peuvent le mettre en place. D'ou la vérification sur les plages d'adresses I.P. gérées par le provider.
 
6) Certes, il y a le spoofing, mais tu peux facilement t'en protéger en limitant le nombre de connexion par jour à partir d'une IP, ou encore le nombre de mails envoyés à partir d'une I.P., ou encore le nombre de destinataires pour un seul message... enfin bref en mettant des règles sur les envoies.
 
7) Toujours contre le spoofing, tu peux utiliser les DNS pour faire un reverse lookup : est-ce que l'adresse correspond à un serveur de mail/domaine déclaré ? oui -> on accepte, non -> on rejette.
 
C'est tout pour aujourd'hui